SAPwned: SAP yapay zeka güvenlik açığı müşterilerin bulut ortamını ve kişisel verilerini açığa çıkarıyor

 (wiz.io)
1 puan yazan GN⁺ 2024-07-19 | 1 yorum | WhatsApp'ta paylaş

Yapay zekada izolasyon sorunu mu var?

Özet

Wiz araştırma ekibi, birden fazla yapay zeka hizmet sağlayıcısındaki tenant izolasyonu sorunlarını inceledi. Yapay zeka altyapısı birçok iş ortamında vazgeçilmez bir unsur haline geldikçe, bu tür saldırıların etkisi giderek büyüyor. Araştırma bulguları Black Hat konferansında sunulacak.

SAP AI Core araştırması

SAP AI Core, HANA ve diğer bulut hizmetleriyle entegre olarak müşterilerin dahili verilerine erişebiliyor. Araştırma ekibi, kötü niyetli bir aktörün bu müşteri sırlarına erişip erişemeyeceğini doğrulamak istedi. Araştırma sonucunda, kötü amaçlı AI modelleri ve eğitim süreçleri çalıştırarak müşterilerin gizli dosyalarına ve bulut ortamlarına erişilebildi.

Başlıca güvenlik açıkları

  • SAP'nin dahili container registry'sindeki Docker image'ları okunup değiştirilebildi
  • Google Container Registry'deki SAP Docker image'ları okunup değiştirilebildi
  • SAP'nin dahili Artifactory sunucusundaki artifact'ler okunup değiştirilebildi
  • SAP AI Core'un Kubernetes cluster'ında cluster admin yetkileri elde edilebildi
  • Müşterilerin bulut kimlik bilgilerine ve özel AI artifact'lerine erişilebildi

Güvenlik açığı ayrıntıları

Ağ kısıtlamalarının aşılması

Pod'da shareProcessNamespace ve runAsUser ayarları üzerinden Istio proxy yapılandırmasına erişilebildi. Bu sayede dahili ağdaki trafik kısıtlamaları aşılabildi.

Loki sunucusunda AWS token'larının açığa çıkması

Grafana Loki sunucusunun /config endpoint'i üzerinden AWS secret'larına erişilebildi. Bu sayede AI Core hizmetinin ve müşteri Pod'larının log'larına erişilebildi.

Kimlik doğrulamasız EFS paylaşımı

AWS Elastic File System (EFS) instance'ı varsayılan olarak herkese açık yapılandırıldığı için, kimlik bilgisi olmadan dosyalar görüntülenebildi. Bu sayede büyük miktarda yapay zeka verisine erişilebildi.

Kimlik doğrulamasız Helm sunucusu

Helm sunucusunun gRPC arayüzü üzerinden SAP'nin Docker Registry ve Artifactory sunucularındaki secret'lara erişilebildi. Bu sayede dahili image'lar ve build'ler okunup değiştirilebildi.

K8s cluster'ının açığa çıkması

Helm sunucusunun install komutu üzerinden cluster admin yetkileri elde edilebildi. Bu sayede diğer müşterilerin Pod'larına erişilip hassas veriler çalınabildi.

Sonuç

SAP AI Core araştırması, defense in depth yaklaşımının önemini gösteriyor. Dahili ağı güvenilir kabul etmek riskli olabilir. Yapay zeka Ar-Ge süreçlerinde ortaya çıkan kendine özgü zorlukları çözmek için uygun koruma mekanizmalarına ihtiyaç var.

GN⁺ özeti

  • Yapay zeka altyapısında tenant izolasyonu sorunu önemli bir güvenlik meselesi.
  • SAP AI Core güvenlik açıkları, kötü niyetli aktörlerin müşteri gizli verilerine erişmesine olanak tanıyor.
  • Araştırma bulguları, AI model çalıştırma sırasında izolasyon ve sandboxing standartlarının iyileştirilmesi gerektiğini vurguluyor.
  • Benzer işlevlere sahip diğer projeler arasında Google AI Platform ve Microsoft Azure Machine Learning bulunuyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-07-19
Hacker News görüşleri
  • Bunun yapay zeka ürünleriyle ilgili bir sorun olmaktan çok, k8s yapılandırmasındaki bir zafiyet sorunu olduğu düşünülüyor
  • SAP'nin, Wiz'in araştırması küme yöneticisi yetkilerini elde etmeden önce neden engellenmediğine dair kapsamlı bir inceleme yapması gerekiyor
    • SAP'nin bu faaliyet hakkında uyarı alıp almadığı ve bunu düzgün şekilde soruşturup soruşturmadığı merak ediliyor
    • SAP'nin şüpheli ağ etkinlikleri için uygun uyarılar sağlama yükümlülüğüne ilişkin düzenlemelere uyup uymadığı ve bu araştırmanın bu düzenlemelerin karşılanmadığını gösterip gösteremeyeceği merak ediliyor
  • 2020'den beri kullanım dışı olan bir Tiller örneğinin hâlâ çalışıyor olmasına şaşırıldığı belirtiliyor
  • Tek bir K8s kümesinde güçlü bir çoklu kiracılık garantisi beklemek çok kötü bir durum olarak görülüyor
    • Büyük bulut hizmetleri, müşteriler arasında VM sınırları ve ayrı K8s kümeleri kullanıyor
    • Microsoft da birkaç yıl önce, K8s'i temel bir güvenlik sınırı olarak varsayan bir özellik ürününde benzer bir sorun yaşamıştı
  • Wiz'i kullanmış olan biri olup olmadığı merak ediliyor
    • Kurumsal yazılım şirketleri arasında en hızlı büyüyen örnek olabilir
    • 1,5 yılda $100M'ye ulaştı
      1. yılın sonunda $350M'ye ulaştı
  • Ağa izinsiz girip zafiyet bularak blog içeriği üreten şirketlerin yargılanması gerektiği düşünülüyor
    • Bu yazı, zafiyet ifşası kılığına sokulmuş saldırgan bir metin gibi geliyor
    • "İş birliğiniz için teşekkür ederiz" ifadesi biraz zorlama gibi duyuluyor
  • Şirkette, ürünün yıllık pentest'inin prodüksiyon ortamında çalıştırılmasına onay almış olmaktan memnuniyet duyuluyor
    • Belirli bir ürün ya da sisteme odaklanılsa da her şey kapsam dahilinde
    • İlk test şu anda yürütülüyor ve henüz kimse şikâyet etmedi
  • Müşteri hesap verilerinin aynı müşteriye ifşa edildiği şeklinde okunup okunmadığı merak ediliyor
    • İstisna olarak bazı loglar var
  • Bir güvenlik araştırmacısı olarak, metni pikselleştirerek sansürlemenin iyi bir tercih olmadığını bilmesi gerekirdi